Bonjour le monde

Je crée un site sur lequel on pourra s'abonner, écrire des billets, commenter des billets. Je vais employer Python, bottle, sqlite. La base de données contiendra donc des données concernant les abonnés (au minimum, pseudo et mail, mais éventuellement aussi, nom prénom adresse téléphone).

Comment mettre les données à l'abri des hackers, pirates et autres malfaiteurs ?

Par ailleurs, comme je ne suis pas expérimenté, et pas très pointu en programmation, j'envisage un système de paiement très simple : communiquer mon IBAN à fin de virements. Cela présente-t-il des risques ?

Bonjour,

Je n'ai pas d'expérience en cybersécurité, mais le minimum me semble de chiffrer toutes les données personnelles des membres et ne faire attention ou tu stockes les clés. Attention aussi aux injections sql, un classique des failles de sécurité.

En ce qui concerne l'abonnement, même si en théorie on ne peut rien faire avec ton IBAN (sauf si usurpation d'identité), je te recommande d'utiliser un solution tierce type Paypal. D'une part ça rassure les utilisateurs, et d'autre part la tranquillité d'esprit pour l'exploitant du site vaut, généralement, largement la commission.

Merci thecraouch

La solution Paypal impose aux utilisateurs de s'abonner à Paypal, non ? (j'ai ouvert un compte à cause d'une annonce sur ebay, il y a longtemps, et je ne m'en suis jamais servi.)

L'usurpation d'identité, j'en ai entendu parler, mais je vois pas très bien en quoi ça consiste. Dans le cas où ça arrive, de quelle façon peut-on utiliser ton IBAN ?

Oui, l'utilisateur doit créer un compte Paypal. Pas d'abonnement à proprement parler, les frais (commissions : pourcentage de la somme + petit montant fixe ) s'appliquent en fonction de ton activité avec le compte (éventuellement ta banque peut appliquer des frais supplémentaires).

Pour l'usurpation d'identité, le pirate se fait passer pour toi et utilises ton IBAN pour se payer des trucs compatibles avec ce mode de paiement, qui ne nécessitent pas d'adresse de livraison par laquelle on pourrait le retrouver. Mais c'est plus un travail de faussaire que de hacker.

Pour l'IBAN, ma conseillère bancaire me dissuade elle aussi. La solution Paypal, outre que tout le monde ne l'a pas, me paraît onéreuse. Alors je vais peut-être étudier la question pour un paiement en ligne, avec carte bleue. J'ai bien peur que ce soit complexe ! Est-ce qu'il y a des tutos qui parlent de ça ?

Pour ce qui est des données abonnés, je vais peut-être commencer avec juste pseudo ou prénom et nom, plus mail. Parce que pour l'instant, le cryptage, je connais pas.

Vu les questions que tu poses, tu es débutant, ou tout du moins pas aussi expérimenté que je ne le pensais.

Ne mets pas ton site en ligne tant que tu ne sais pas crypter et protéger tes données utilisateurs : tu engages ta responsabilité (renseignes toi bien sur le RGPD).
La crypto c'est pas si sorcier, les grandes lignes sont très vites compréhensibles et il n'est pas nécessaire de comprendre (mathématiquement parlant) le dernier algo de hashage à la mode pour l'utiliser à partir d'une bibliothèque tierce. Tu as choisi python, il y a une grosse communauté donc de nombreux modules et tutos pour faire tout et n'importe quoi.

Sécurise ton site et tes data, et après tu pourras envisager de faire payer ton service en ayant la conscience tranquille, vis-a-vis des pirates comme de la loi.